openvpn windows版安装配置简介

近段时间，花了不少时间在配置openvpn。花了不少时间才解决资源共享访问，客户端通过服务器端上外网问量。

一翻辛苦之下总算成功了。现在把大概过程记下来，作为笔记

1 windows版openvpn安装。下载对应系统版本直接安装就好。另外，要安装openssl，建议直接下载winopenssl安装就好

注意：服务器端要全部勾选。否则无法创建证书。

2 创建证书

2.1 服务器上，打开安装目录下 easy-rsa，先修改vars-bat-sample，把内容修改一下。

注意，common name ,其它自己喜欢就好。

2.2 运行命令行(注意管理员权限)

init-config

vars

clean-all

2.3 创建ca: build-ca，得到ca,crt，ca.key两信公文件。其中，ca.crt是公共文件，服务器与客户端都要用。

2.4 创建服务端证书：build-key-server  server(服务器证书文件名)，得到3个文件：server.crt，server.key，server.csr。

2.5 创建客户端证书：build-key client(客户端证书文件名)，得到3个文件：client.crt，client.key，client.csr。

注意：不同客户端证书在生成，注意区别common 字段。

2.6 创建迪非－赫尔曼交换密码：build-dh，这个是可选的。生成时间大概要十多分钟。得到1个文件：dh4096.pem(不同版本文件名可能不同)

2.7 开启tls-auth，可选，非必要

open  一一genkey 一一secret keys/ta.key

得到1个文件：ta.key。

2.8 如需要再次创建新用户，命令行执行 vars，再直接 build-key （新用户文件名 ） 即可。

3 配置运行

3.1 服务器端：

在openvpn/easy-rsa/keys/下复制：ca.crt ，server.crt，server.key，dh4096.pem，ta.key

在openvpn/sample-config 目录下复制server.ovpn到openvpn/config目录下，再用文本编辑器打开。内容修改后如下：

port:  1194

proto udp

dev tun #注：经测试，在window系统中，想要通过服务器上网，tap/tun都可以。没有问题。不是传说中非要tap不可。

ca ca.crt

cert server.crt

key server.key

dh dh4096.pem

server 10.8.0.0 255.255.255.0  

push "route 0.0.0.0  0.0.0.0"  #推网关。在window系统中，想要通过服务器上网，最好加上

ifconfig-pool-persit ipp.txt  #此处注意：服务端运行时要注意权限，非管理员权限可能无法写入默认安装目录 C盘，运行时会提示出错。

push "redirect-gateway def1 bypass－dhcp"

push "dhcp-options DNS 202...." #推DNS。在window系统中，想要通过服务器上网，最好加上

push "dhcp-options DNS 202..." #在window系统中，想要通过服务器上网，最好加上

keep alive 10 200

tls-auth ta.key 0  #这个如果刚才不生成ta.key，可以不要。

cipher AES-256-CBC  #默认加密方式，可能不同版本不同

com-lzo

persists-key

persists-tun

status server-log #这个是简单日志，直接写在此目录，出错时方便打开查看

verb 3

;explice-exit-notify 1 #可选，xp系统不支持

3.2 客户端

client

port:  1194

proto udp

dev tun #注：经测试，在window系统中，想要通过服务器上网，tap/tun都可以。没有问题。不是传说中非要tap不可。

remote 服务器IP 端口(1194)

resolv-retry infinite

nobind

persists-key

persists-tun

ca ca.crt

cert client.crt

key client.key

remote-cert-tls server

tls-auth ta.key 1  #这个如果刚才不生成ta.key，可以不要。客户端规定是1。

cipher AES-256-CBC  #默认加密方式，可能不同版本不同

com-lzo

status client-log #这个是简单日志，直接写在此目录，出错时方便打开查看

verb 3

4 重点：客户端要访问服务器端所在网络资源，一定要启用服务器端物理网卡上的Internet连接共享！！！！！

在服务器端物理网卡属性上，开启Internet连接共享：允许其它网络用户通过此计算机的Internet连接来连接。

这样才能访问服务器端共享资源！！！如果还不行，就推网关！！！！

如果要通过服务器端上外网，最好连DNS一起推！！！！这三样做齐，服务器内网必通。外网大部分情况可通。

如果还不通，服务器端如果是server系统，直接加装NAT服务。

本文纯原创，全手工输入。转载请不要改动。